無濫用的樂觀多方合同簽署協(xié)議

(1.解放軍信息工程大學(xué) 信息工程學(xué)院 鄭州 450002；2.鄭州大學(xué)西亞斯國際學(xué)院 計(jì)算機(jī)科學(xué)系 河南 新鄭 451150；3.河南財(cái)經(jīng)學(xué)院 計(jì)算中心 鄭州 450002)

摘 要：為了解決多方合同簽署協(xié)議結(jié)構(gòu)復(fù)雜、難以理解和分析、消息交換輪數(shù)和次數(shù)多、效率低等問題，提出了兩個(gè)樂觀多方合同簽署協(xié)議，并分析了協(xié)議的公平性和無濫用性。協(xié)議1使用普通數(shù)字簽名算法 滿足公平性但不滿足無濫用性；協(xié)議2使用一種專用合同簽名算法，同時(shí)滿足公平性和無濫用性。兩個(gè)協(xié)議都具有簡單的對稱結(jié)構(gòu)，不論有多少個(gè)不誠實(shí)用戶，主協(xié)議只需兩輪交換，消息交換次數(shù)為O(n2) 。

關(guān)鍵詞：無濫用性；多方合同簽署；樂觀協(xié)議；公平交換

中圖分類號(hào)：TP309文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2009)05-1904-04

Abusefree and optimistic multiparty contract signing protocols

LI Xiangdong1，2，WANG Qingxian1，CHEN Li1，3

(1.School of Information Engineering PLA Information Engineering University Zhengzhou 450002 China；2.Dept. of Computer Science SIAS University， Xinzheng Henan 451150 China；3.Computer Center Henan University of Finance Economics Zhengzhou 450002 China)

Abstract:There were difficulties when analyzing and implementing multiparty contract signing protocols because of their complicated structure and inefficient message exchanges. This paper presented two optimistic multiparty contract signing protocols and analyzed the properties of fairness and abusefreeness. Protocol 1 based on ordinary digital signatures was fair but not abusefree. Protocol 2 based on private contract signatures was both fair and abusefree. Both protocols presented in this paper achieve a major improvement: the protocols are symmetric; the number of rounds is reduced to 2 no matter how many dishonest signatories there are.

Key words:abusefreeness; multiparty contract signing; optimistic protocols; fair exchange

0 引言

多方數(shù)字合同簽署協(xié)議指n個(gè)用戶在網(wǎng)上共同簽署某合同 要求要么所有用戶都得到了有效合同 要么所有用戶都一無所獲 即協(xié)議應(yīng)當(dāng)滿足公平性。數(shù)字合同簽署協(xié)議屬于非否認(rèn)的公平交換協(xié)議 是一類重要的電子商務(wù)協(xié)議。具體地講 數(shù)字合同簽署協(xié)議就是公平地交換數(shù)字簽名。

要實(shí)現(xiàn)嚴(yán)格的公平性 可信第三方(trusted third part，TTP) 在公平交換協(xié)議中是必需的^[1，2]。根據(jù)TTP在協(xié)議中的涉入程度，TTP及其相應(yīng)的協(xié)議可以分為線上(inline)、在線(online) 和離線(offline)等類別^[3]。離線公平交換協(xié)議 也稱為樂觀公平交換協(xié)議^[4]，假定多數(shù)情況下所有用戶都誠實(shí)且信道及時(shí)送達(dá)消息，協(xié)議不需要TTP的參與就能成功完成（對于合同簽署協(xié)議而言，就是合同可以成功簽署）。僅當(dāng)協(xié)議運(yùn)行出現(xiàn)異常情況時(shí)，才需要TTP的協(xié)助。樂觀公平交換協(xié)議可以避免TTP成為協(xié)議性能的瓶頸。

早期提出的樂觀多方合同簽署協(xié)議^[5，6]被用于同步網(wǎng)絡(luò)（synchronous network）環(huán)境。同步網(wǎng)絡(luò)的特征^[7]是：每個(gè)用戶都知道每一輪消息交換何時(shí)開始、何時(shí)結(jié)束。在每一輪中，每個(gè)用戶向其他用戶發(fā)送的消息都在本輪中被送達(dá)并被及時(shí)處理。到目前為止 效率最好的同步網(wǎng)絡(luò)的樂觀多方合同簽署協(xié)議^[6]用兩輪主交換和兩輪恢復(fù)交換完成。但這類協(xié)議要求運(yùn)行于同步網(wǎng)絡(luò)，對網(wǎng)絡(luò)質(zhì)量要求太高，沒有實(shí)用價(jià)值。

第一個(gè)用于異步網(wǎng)絡(luò)（asynchronous network）的樂觀多方合同簽署協(xié)議是文獻(xiàn)[8]提出的。異步網(wǎng)絡(luò)的特征是網(wǎng)絡(luò)中的消息延遲沒有上限，異步網(wǎng)絡(luò)中的樂觀多方合同簽署協(xié)議的主要缺點(diǎn)是需要的輪數(shù)太多。文獻(xiàn)[9 10]提出的協(xié)議對于n個(gè)用戶（其中，最多有n-1個(gè)不誠實(shí)用戶）需要O(n2)輪。文獻(xiàn)[11]將輪數(shù)減少到了n+1 最壞的情況是n+3。文獻(xiàn)[12]指出當(dāng)不誠實(shí)用戶數(shù)小于用戶總數(shù)一半時(shí)，協(xié)議只需兩輪，這是該類協(xié)議目前最好的結(jié)果。但n個(gè)用戶中到底有多少個(gè)不誠實(shí)用戶，任何人（包括可信第三方）是不可能預(yù)知的。因此協(xié)議要求可信第三方根據(jù)不誠實(shí)用戶數(shù)決定協(xié)議的輪數(shù)以及協(xié)議的進(jìn)度，這是不現(xiàn)實(shí)的，這樣的協(xié)議也沒有實(shí)際應(yīng)用價(jià)值。

Kremer在文獻(xiàn)[13]中根據(jù)網(wǎng)絡(luò)質(zhì)量將信道分為三種，并給出了非形式化和形式化定義。其中的合用信道(operational channels)的特征類似于同步網(wǎng)絡(luò)，而彈性可恢復(fù)信道(resilient channels)或不可靠信道(unreliable channels)的特征類似于異步網(wǎng)絡(luò)。使用這種信道處理方法，可以將協(xié)議所依賴的網(wǎng)絡(luò)質(zhì)量細(xì)化到任意兩個(gè)協(xié)議主體之間，而不是對整個(gè)協(xié)議的網(wǎng)絡(luò)環(huán)境作出單一假設(shè)。因此，Kremer的信道分類和處理方法更加合理。

文獻(xiàn)[10]首次提出了合同簽署協(xié)議的無濫用性(abusefreeness) 即任何協(xié)議主體任何時(shí)刻都不能向協(xié)議之外的主體證明：他/她正在簽署合同的過程中 并具有能力作出中止簽署或完成簽署兩種不同的選擇。無濫用性和公平性一樣是合同簽署協(xié)議應(yīng)當(dāng)滿足的重要屬性。

在上述背景下，本文研究在對不誠實(shí)用戶數(shù)不設(shè)前提條件、對網(wǎng)絡(luò)質(zhì)量的要求盡量降低的情況下，設(shè)計(jì)出結(jié)構(gòu)簡單、輪數(shù)固定、效率較高的樂觀多方合同簽署協(xié)議，并使協(xié)議滿足公平性和無濫用性。

1 樂觀多方合同簽署協(xié)議 

1.1 記號(hào)

本文描述協(xié)議時(shí)使用以下記號(hào)：

U表示協(xié)議用戶集合 U={1，2，3，…，n}；

Pi表示協(xié)議用戶i，i∈U；

T表示協(xié)議的離線可信第三方；

c=(tid，contr)表示將要簽署的合同 其中的tid是個(gè)標(biāo)志符，惟一地標(biāo)志協(xié)議的一次執(zhí)行 contr是將要簽署的合同的文本；

SX(m)表示消息{m，SX(h(m))}的簡寫，包含消息m，以及用戶X對消息m的哈希(hash)值的數(shù)字簽名；

t表示協(xié)議中每輪的超時(shí)機(jī)制所用的有效期，取值一般遠(yuǎn)大于信道的延遲；

X→Y：m表示用戶X向用戶Y發(fā)送消息m；

XZ：m表示用戶X向用戶集合Z廣播消息m。

1.2 假設(shè)及聲明

本文在使用傳統(tǒng)的非形式化方法描述協(xié)議時(shí) 忽略了一些細(xì)節(jié) 如消息交換中沒有包括指明每條消息用途的消息標(biāo)志等，并使用以下所列的假設(shè)：

a）U中的全體用戶已經(jīng)同意(意向)共同簽署合同contr 打算通過執(zhí)行協(xié)議確認(rèn)這一共同立場。

b）U中的全體用戶在協(xié)議開始前各自收到一個(gè)本地輸入{U，T，contr，tid，t}，各參數(shù)含義如前所述。

c） 雖然這里并不假定網(wǎng)絡(luò)中的時(shí)鐘是同步的，但當(dāng)t的值遠(yuǎn)遠(yuǎn)大于信道時(shí)延時(shí)(如時(shí)延的級(jí)別是min，t的級(jí)別是h)，本文假定采用超時(shí)機(jī)制是有效的。這種超時(shí)機(jī)制也在其他文獻(xiàn)中被廣泛采用。

d）U中用戶與TTP之間的信道是彈性可恢復(fù)的，即消息有延遲，但最終被送達(dá)。U中用戶之間的信道是不可靠的，即消息可能丟失。

e）所有信道的消息傳送都是機(jī)密和認(rèn)證的。

f）所有用到的密碼學(xué)算法都是可靠的。

1.3 協(xié)議描述

協(xié)議1采用對稱結(jié)構(gòu) 即對每個(gè)用戶的協(xié)議描述是相同的。協(xié)議包括一個(gè)主協(xié)議和一個(gè)恢復(fù)子協(xié)議。主協(xié)議分成兩個(gè)階段，一個(gè)階段即其他多方合同簽署協(xié)議所稱的一輪（stage）。第一個(gè)階段，各個(gè)用戶彼此交換對合同的數(shù)字簽名，但這個(gè)簽名的作用只相當(dāng)于一個(gè)承諾。第二個(gè)階段 各個(gè)用戶彼此交換對第一輪成果的數(shù)字簽名 最后得到的包含每個(gè)用戶對合同的兩輪簽名才是最終的有效合同。

協(xié)議1的恢復(fù)子協(xié)議也同樣簡潔高效。收集到全部第一輪簽名的任一用戶向TTP發(fā)出有效的恢復(fù)請求 TTP就將帶有TTP簽名的替代合同（同樣是有效合同）發(fā)送給所有用戶，這樣可以保證恢復(fù)子協(xié)議運(yùn)行結(jié)果的同步。下面給出協(xié)議1主協(xié)議和恢復(fù)子協(xié)議的非形式化描述 分別如表1、2所示。

表1 協(xié)議1的主協(xié)議

第一階段（輪）

(1)Pi→Pj:SPi(c)

(2)Pj→Pi:SPj(c)(Pj∈U\\{Pi})

Pi收集消息向量M1=(SP1(c)，SP2(c)，…，SPn(c))，如果超時(shí)，則停止

第二階段（輪）

(3)Pi→Pj:SPi(M1)

(4)Pj→Pi:SPj(M1)(Pj∈U\\{Pi})

Pi收集M2=(SP1(M1)，SP2(M1)，…，SPn(M1))，如果成功則停止；否則發(fā)起恢復(fù)子協(xié)議

表2 協(xié)議1的恢復(fù)子協(xié)議

(1)Pi→T:SPi(M1)

(2)如果TTP的狀態(tài)(statustid)是已恢復(fù)(recovered)，TTP忽略此請求；否則TU:STTP(c，U，SIGNED))statustid=recovered

協(xié)議說明如下：

a）對主體Pi而言，M2和STTP(c，U，SIGNED)都是有效合同，是等效的。

b）在第一階段的時(shí)間t之后，若用戶Pi未收齊協(xié)議的第一輪簽名向量M1，即可中止主協(xié)議。即使如此，如果Pi已經(jīng)發(fā)出第一階段簽名，此后(3t之內(nèi))仍可能收到TTP發(fā)來的有效合同(有主體在第二階段成功發(fā)出recovery請求即可)。

c）多數(shù)樂觀公平交換協(xié)議使用abort子協(xié)議保護(hù)某些主體的公平性 但本協(xié)議沒有采用這種方法 而是采用可信第三方T將替代合同STTP(c，U，SIGNED)同時(shí)廣播給所有用戶的方法。這樣更有利于誠實(shí)主體達(dá)到合同簽署成功的目的。

d）主協(xié)議只需要兩輪，共2n(n-1)次消息交換。恢復(fù)子協(xié)議一旦被啟動(dòng)，子協(xié)議需要n+1次消息交換。

e）雖然之前的文獻(xiàn)討論了很多關(guān)于不誠實(shí)用戶數(shù)對協(xié)議的影響，本文認(rèn)為協(xié)議與不誠實(shí)用戶數(shù)無關(guān)。因?yàn)樵谟行Ш贤a(chǎn)生之前，只要有一個(gè)用戶拒絕簽署，則整個(gè)合同失敗；反之，若產(chǎn)生了一個(gè)有效合同，必然意味著所有用戶都通過協(xié)議表明了同意簽署合同的態(tài)度。

1.4 協(xié)議分析

非形式化地，有以下結(jié)論：

a）協(xié)議1是樂觀的，即當(dāng)所有用戶是誠實(shí)的并且所有消息都及時(shí)送達(dá)時(shí) 協(xié)議不需要TTP的參與就能成功完成。本協(xié)議所稱用戶是誠實(shí)的指用戶愿意簽署給定的合同并按照協(xié)議規(guī)定誠實(shí)行事 并且不故意損害自己的利益。

證明 根據(jù)給定條件 這是顯然的 每個(gè)用戶只需執(zhí)行兩輪主協(xié)議就得到了期待的有效合同。

b)協(xié)議1是公平的。多方合同簽署協(xié)議的公平性是指要么所有用戶都得到了有效合同 要么所有用戶都一無所獲。有效合同是指協(xié)議規(guī)定的公開可驗(yàn)證的、非否認(rèn)的證據(jù)。本協(xié)議中M2和STTP(c，U，SIGNED)都是有效合同。

證明 根據(jù)協(xié)議 任何用戶要得到有效合同只有兩種情況：（a）用戶在主協(xié)議的第二輪收集到了所有有效的簽名 得到有效合同M2。在這種情況下 任何用戶如果沒能收集到第二輪所有有效的簽名 肯定至少收集到了所有第一輪的簽名 否則不會(huì)發(fā)送第二輪簽名，因而可以發(fā)起恢復(fù)子協(xié)議 進(jìn)而得到有效的合同STTP(c，U，SIGNED)。（b）所有用戶在恢復(fù)子協(xié)議中收到TTP發(fā)來的有效合同STTP(c，U，SIGNED)。可見 若協(xié)議未進(jìn)入第二輪則所有用戶得不到有效合同；否則所有用戶都得到有效合同。因而協(xié)議是公平的。

c）協(xié)議1不具備無濫用性(abusefreeness)。協(xié)議的無濫用性指任何協(xié)議主體任何時(shí)刻都不能向協(xié)議之外的主體證明：他/她正在簽署合同的過程中 并具有能力作出中止簽署或完成簽署兩種不同的選擇。具備無濫用性的協(xié)議又稱為是平衡的(balanced)^[13]，本協(xié)議不是平衡的。

證明 首先 收到第一輪簽名且尚未發(fā)出第二輪簽名的主體具備選擇協(xié)議結(jié)果的能力。例如，主體Pj通過第一輪交換得到了消息向量M1，但是Pj尚未向其他主體發(fā)送消息SPj(c)，則Pj可以退出協(xié)議使得整個(gè)合同簽署失敗，也可以發(fā)送消息SPj(c)或發(fā)起恢復(fù)子協(xié)議使得合同完成簽署，并且，消息向量M1中的簽名是公開可驗(yàn)證的。因此，本協(xié)議不滿足無濫用性，是不平衡的。

2 無濫用多方合同簽署協(xié)議

2.1 算法選擇

Garay等人在文獻(xiàn)[10]中使用一種稱為PCS(private contract signatures)的算法，提出第一個(gè)無濫用的多方合同簽署協(xié)議（GM協(xié)議）。雖然GM協(xié)議滿足無濫用性 但協(xié)議使用復(fù)雜的遞歸結(jié)構(gòu)，需要O(n2)輪交互、共O(n3)次消息傳遞和復(fù)雜的恢復(fù)子協(xié)議。雖然Garay等人認(rèn)為離線的可信第三方推翻自己先前的abort子協(xié)議是必需的，且協(xié)議輪數(shù)的最低下限是O(n)，但本文提出的協(xié)議恰恰給出了一個(gè)反例，說明他們的結(jié)論是錯(cuò)誤的。另外 文獻(xiàn)[13]使用博弈邏輯分析方法，也證明GM協(xié)議存在公平性漏洞和無濫用性漏洞。

PCS是一種基于可信第三方的組內(nèi)可轉(zhuǎn)換簽名。用戶A、B和可信第三方T為一個(gè)組，用戶A使用T作為TTP向用戶B發(fā)出的對消息m的PCS簽名記為PCSA(m，B，T)，用戶B和第三方T可以驗(yàn)證PCSA(m，B，T)確實(shí)是A對m的PCS簽名，并且B知道第三方T可以將它轉(zhuǎn)換為公開可驗(yàn)證簽名TPSA(m)。但PCS簽名算法的安全性依賴于Decision DiffieHellman problem (DDH)問題。PCS簽名PCSA(m，B，T)具有以下性質(zhì)：指定的驗(yàn)證人，即只有B和T可驗(yàn)證簽名的有效性；可轉(zhuǎn)換性，即可由T將該P(yáng)CS簽名轉(zhuǎn)換為公開可驗(yàn)證簽名TPSA(m)；非交互性，即B知道T有能力將簽名轉(zhuǎn)換為公開可驗(yàn)證簽名，而不需要詢問T是否有此能力。

文獻(xiàn)[14]提出一種并發(fā)簽名(concurrent signatures)算法，使得一組用戶可以做出一組模糊簽名，這些簽名只對組內(nèi)用戶是可驗(yàn)證的，直到之后的某個(gè)時(shí)刻，組內(nèi)某個(gè)用戶發(fā)布一個(gè)稱為keystone的額外信息 使得每個(gè)簽名都與其簽名者同時(shí)綁定 這時(shí)，任何組外人都可以公開驗(yàn)證某個(gè)簽名是否由某個(gè)用戶簽發(fā)。使用這種并發(fā)簽名算法可以實(shí)現(xiàn)協(xié)議的無濫用性，但需要額外的n-1次消息將keystone的值通知給組內(nèi)用戶。額外的消息傳遞增加了合同失敗的概率，因此本文決定采用PCS算法實(shí)現(xiàn)無濫用性。

2.2 協(xié)議描述

協(xié)議2采用PCS簽名作為各用戶在第一階段相互交換的簽署合同的承諾，用于滿足無濫用性。協(xié)議2只需對協(xié)議1的主協(xié)議加以改進(jìn)。協(xié)議2的主協(xié)議仍然包括兩個(gè)階段（輪） 與協(xié)議1主協(xié)議的區(qū)別僅在于消息內(nèi)容的不同。主協(xié)議描述如表3所示。

恢復(fù)子協(xié)議的描述和協(xié)議1的恢復(fù)子協(xié)議相同，區(qū)別是發(fā)起恢復(fù)子協(xié)議的用戶Pi向T發(fā)送的消息SPi(M1)中的M1與協(xié)議1不同 在協(xié)議1中：

M1=(SP1(c)，SP2(c)，…，SPn(c))

在協(xié)議2中：

M1=(PCSP1(c，Pi，T)，PCSP2(c，Pi，T)，…，PCSPn(c，Pi，T)) 

協(xié)議2的恢復(fù)子協(xié)議的描述從略。

表3 協(xié)議2的主協(xié)議

第一階段（輪）

（1）Pi→Pj:PCSPi(c，Pj，T)

(2)Pj→Pi:PCSPj(c，Pi，T)(Pj∈U\\{Pi})

Pi compiles vector M1=(PCSP1(c，Pi，T)，PCSP2(c，Pi，T)，…，PCSPn(c，Pi，T))

if Pi times out then stops

第二階段（輪）

(3)Pi→Pj:SPi(c)

(4)Pj→Pi:SPj(c)(Pj∈U\\{Pj})

Pi compiles vector M2=(SP1(c)，SP2(c)，…，SPn(c))

if Pi succeeds then stops else recovers

協(xié)議2的協(xié)議說明如下：

a）主協(xié)議中，第一階段每個(gè)用戶向其他用戶發(fā)送的是PCS簽名。協(xié)議中的記號(hào)PCSPi(c，Pj，T)是消息{c，Pj，T，PCSPi(c，Pj，T)}的簡寫，其他PCS簽名記號(hào)也是類似的簡寫。

b）對主體Pi而言，M2和STTP(c，U，SIGNED)都是有效合同，是等效的，但需要注意M2的內(nèi)容與協(xié)議1的M2不同。

c）協(xié)議2與協(xié)議1結(jié)構(gòu)、輪數(shù)和消息次數(shù)完全相同。筆者也曾經(jīng)考慮過輪數(shù)不變、減少消息次數(shù)的方案。例如，在每一輪中 用戶Pi，2≤i≤n，都把消息發(fā)送給用戶P1 然后由P1將本輪收集到的所有消息重新組織后轉(zhuǎn)發(fā)給Pi。這樣主協(xié)議需要的消息交換次數(shù)更少，為4(n-1)次。但這樣一來，P1容易成為性能的瓶頸 而這一點(diǎn)是離線公平交換協(xié)議盡力避免的一個(gè)問題。所以，協(xié)議2仍使用與協(xié)議1一樣的結(jié)構(gòu)和輪數(shù)。

2.3 協(xié)議分析

對協(xié)議2，有以下結(jié)論：

協(xié)議2是樂觀的。

證明 與協(xié)議1相同 根據(jù)給定條件 每個(gè)用戶只需執(zhí)行兩輪主協(xié)議就得到了期待的有效合同。

協(xié)議2是公平的。

證明 證明與協(xié)議1類似。不同之處在于：a）在第一階段，用戶Pi收到的是其他用戶的PCS簽名。根據(jù)PCS指定的驗(yàn)證人屬性，Pi可以驗(yàn)證消息的有效性。b）當(dāng)TTP收到一個(gè)有效的恢復(fù)請求時(shí)，TTP需要驗(yàn)證其中的PCS簽名并轉(zhuǎn)換為普通簽名。驗(yàn)證通過則向所有用戶發(fā)送STTP(c，U，SIGNED)作為有效合同。

協(xié)議2是平衡的，即無濫用的。

證明 在協(xié)議2的第一階段 用戶之間交換的是PCS簽名。根據(jù)PCS簽名指定的驗(yàn)證人性質(zhì) 組外的用戶無法驗(yàn)證簽名的真實(shí)性 因而任何用戶無法向外部用戶證明協(xié)議正在簽署過程中。協(xié)議在第一階段滿足無濫用性。

在協(xié)議2的第二階段 根據(jù)假設(shè) 任何用戶都無法阻止其他用戶發(fā)起恢復(fù)子協(xié)議并得到有效合同，協(xié)議在第二階段滿足無濫用性。因此，協(xié)議2滿足無濫用性。

3 結(jié)束語

本文提出了兩個(gè)樂觀多方合同簽署協(xié)議。其中，協(xié)議1滿足公平性但不滿足無濫用性，協(xié)議2同時(shí)滿足公平性和無濫用性。兩個(gè)協(xié)議均無須設(shè)定不誠實(shí)用戶數(shù)，具有對稱結(jié)構(gòu)且效率較高。協(xié)議仍有改進(jìn)的空間。協(xié)議2的第一階段中 每個(gè)用戶要生成并發(fā)送對其他每個(gè)用戶的PCS簽名(即n-1個(gè)不同的簽名) 而不能生成并發(fā)送一個(gè)單一的組內(nèi)所有用戶都可驗(yàn)證的組內(nèi)簽名。原因是PCS實(shí)質(zhì)上是個(gè)兩方簽名算法而非多方簽名算法，這使得消息交換的效率未達(dá)到最高。文獻(xiàn)[15]提出了一個(gè)多個(gè)指定驗(yàn)證者簽名算法(multidesignated verifier signatures，MDVS)，MDVS簽名算法允許n個(gè)指定者可以獨(dú)立地驗(yàn)證簽名 而其他用戶卻無法驗(yàn)證簽名的真實(shí)性。但現(xiàn)有的MDVS算法不具有可轉(zhuǎn)換性，還無法代替協(xié)議2中的PCS算法。如果存在多方PCS算法，那么協(xié)議2的效率還可以提高，即使消息交換次數(shù)不變，每條消息的長度可大大縮減。

另外 這兩個(gè)多方合同簽署協(xié)議安全性的形式化分析問題也需要作進(jìn)一步的研究。

參考文獻(xiàn)：

［1］EVEN S YACOBI Y. Relations among public key signature systems，technical report # 175[R]. Haifa: Israel Institute of Technology 1980.

[2]PAGNIA H VOGT H GARTNER F.Fair exchange[J].The Computer Journal，2003，8(2):5575.

[3]KREMER S MARKOWITCH O ZHOU J. An intensive survey of fair nonrepudiation protocols[J].Computer Communications，2002，25(17):16011621.

[4]ASOKAN N SCHUNTER M WAIDNER M. Optimistic protocols for fair exchange[C]//Proc of the 4th ACM Conference on Computer and communications Security.New York:ACM Press，1997:717.

[5]ASOKAN N SCHUNTER M WAIDNER M. Optimistic Protocols for multiparty fair exchange RZ 2892[R]. Zurich: IBM 1996.

[6]ASOKAN N BAUMWAIDNER B SCHUNTER M，et al.Optimistic synchronous multiparty contract signing RZ3089[R]. Zurich: IBM，1998.

[7]LYNCH N. Distributed algorithms[M].San Francisco:Morgan Kaufmann Publishers Inc，1996.

[8]BAUMWAIDNER B WAIDNER M.Optimistic asynchronous multiparty contract signing，RZ3078[R].Zurich: IBM，1998.

[9]GARAY J JAKOBSSON M MACKENZIE P. Abusefree optimistic contract signing[J].Lecture Notes in Computer Science，1999，1666:449-466.

[10] GARAY J MACKENZIE P. Abusefree multiparty contract signing[J].Lecture Notes in Computer Science，1999，1693:151165.

[11]BAUMWAIDNER B WAIDNER M. Roundoptimal and abusefree optimistic multiparty contract signing[J].Lecture Notes in Computer Science，2000，1853:524535.

[12] BAUMWAIDNER B. Optimistic Asynchronous multiparty contract signing with reduced number of eounds[J].Lecture Notes in Computer Science，2001，2076: 898891.

[13]KREMER S. Formal analysis of optimistic fair exchange protocols[D].Brussels: Universit'e Libre de Bruxelles Facult′e des Sciences 2004.

[14]CHEN L KUDLA C PATERSON K. Concurrent signatures[J].Lecture Notes in Computer Science，2004，3027:287-305.

[15]LAGUILLAUMIE F VERGNAUD D. Multidesignated verifier signatures[J].Information Processing Letters，2007，102(23):127132.